Otaku19

Man sieht auch immer häufiger Formulierungen ala: "Studium oder äquivalente Erfahrung" in Ausschreibungen. Das auf Zertifikate bestanden wird ist wohl großteils bei Arbeitgebern die gewisse Partnerstati aufrechterhalten müssen so, bei allen anderen sind das eher Indikatoren als etwas das wirklich etwas aussagt. Kommt dann eben in welche Richtung der Indikator geht, je nach Prüfung wird belegt das derjenige gut auswendig lernen kann, sich streng an Herstellervorgaben hält etc...überspitzt formuliert natürlich, es gibt natürlich auch recht hochwertige Zertifizierungen, aber die wenigstens kann man 1:1 ins Arbeitsleben übertragen. Selbst wenn man ISO Auditor wird, klar man muss den ganzen Kram auf Punkt und Komma wissen und verstehen, nur ist man deswegen noch lange kein guter Auditor, da braucht es schon gewisse Softskills und Erfahrung.

hm...ziemlicher wirr warr. Also, ein default gateway sollte schon auch im gleichen Segment sein, das läuft in deinem fall allerdings von 10.0.1.64-127. Wenn das default gateway außerhalb dieses Netzes einträgst, gibt es sinnvollerweise eine Fehlermeldung, eine Verbindung in andere Netze kann allerdings sehr wohl funktionieren, nämlich dann wenn dein Router proxy ARP kann. Das ist allerdings Blödsinn, platziere eien eRouter in dieses Segment, deaktiviere proxyARP und gut is. Dein Server kann nur dann Router sein, wenn er auch in andere Netze eien Verbindung hat.

...oder auch ein gänzlich anderer Ansatz: private VLANs

Es ist erschreckend wie sehr sich die Lösungsansätze mit denen die hier bei uns verfolgt worden sind als wir eine neue IP Anlage bekommen haben gleichen...von einer systematischen Fehlersuche keine Spur, erst mal was rebooten oder auf einen anderen Host schieben, Schuld wenn möglich auf Netzwerk oder Provider schieben,... Es hilft alles nix, man muss das wirklich per Packet Sniffer genau beleiuchten, bzw in meinem Fall beweisen das die Calls/Pakete eben zu 100% an die Anlage weitergegangen sind. Ich weiß, das ist super mühsam, verbraucht viel Zeit und Ressourcen, aber manchmal geht es nicht anders.

Prioisierung ist überhaupt nicht tot, es macht schon Sinn die Markierung der Pakete so nah wie möglich an der Quelle zu machen, wenn man der Quelle vertrauen kann, dann soll sie eben direkt die Werte setzen. Es muss dann aber durchgängig ein sinnvolles Konzept her. "Sinnvollerweise" konfiguriert sich QoS auf einem 6500er anders als auf einem 4500er und von einem Nexus fange ich lieber erst garnicht an :) Die Priorisierung arbeitet quasi ständig, sortiert ja nur die queues um, das bandbreitenmanagement greift nur ein wenn es sein muss...QoS ist dazu da um gute situationene besser zu machen, nicht um ein Netz das schon völlig überlastet ist wieder hinzubiegen.

SPAN Port wäre möglich, eben in verbindung mit den genannten: log + tcpdump auf den Endsystemen sollte man recht schnell analysieren können was das Problem ist. Nur eiens verrät mir das Bauchgefühl...ein switch verliert im regefall nicht einfach so frames ;)

Ich bin jetz tkein Mikrotikexperte aber: 1.Im regefall nutzt man immer nur eien gerade Anzahl von links, das kommt jedem loadbalancing Algorithmus sehr entgegen 2.welcher Algorithmus wird denn verwendet ? Lässt sich da eventuell was umstellen ?

je nach business sollte man durchaus erwägen diese Funktionen nicht allesamt auf eine Box zu legen. Meistens kann eine Lösung die vieles kann, eben nicht alles ausreichend gut und man kreiert sich einen super SoF, cluster hin oder her (der fängt ohnehin nur HW Probleme ab). habe schon zu oft Probleme auf diversen Firewalls oder Routern gehabt und war sehr froh das zumindest andere Teile des unternehmens weiter funktioniert haben

Vor etwas mehr als 3 Jahren habe ich hier stolz verkündet CISSP erledigt zu haben, das Enrollment hat sich dann noch als etwas schwieriger als gedacht herausgestellt, aber schlussendlich war auch das zu schaffen. ISSAP legt den Schwerpunkt auf die technischen Apsekte vom CISSP, eben alles was man als "Security Architect" so brauchen könnte. Leider wird meiner Meineung nach zu wenig ins Detail eingegangen, zumindest im Kurs und bei der Prüfung. Wobei letztere nicht von schlechten Eltern ist, 125 Fragen in max 3h sind zwar für die meistne kein Problem, allerdings sind wie beim CISSP auch 25 Fragen zur Evaluierung enthalten. Welche das sind, weiß man nicht, ebenso ob es eine bestimmte Gewichtung gibt. Man erhält am Ende der Prüfung lediglich PASS oder FAIL. Zur Schonung der anderen Studenten gibt es das Ergebnis erst draussen, also außerhalb des Prüfungsraumes Der Kurs war wieder bei firebrand, diesmal in UK, sprich Wyboston im idyllischen Bedford. Ja, die meisten werden wie ich nichts damit anzufangen wissen und es ist auch keine Schande nicht zu wissen wo das liegt, denn dort gibt es nichts von Interesse. Ja, das Wyboston Lakes (Hotel "nebenan") würde eine Golfanlage, ein Spa und Pferdesport bieten, dafür hat man allerdings keien Zeit. firebrand typisch ist die Unterkunft nur als zweckmäßig zu beschreiben, aber all das ist auch so beabsichtigt, die Studenten sind schließlich zum Lernen da, man soll nicht abgelenkt werden. Für mich ist Rothenburg an der Fulda und Wyboston ziemlich gleich bescheiden zu erreichen, von daher spielt es für mich keine besondere Rolle wo der Kurs statt findet. Wie auch beim letzten Mal gab es einen guten (weiblichen !) Trainer, es gab genug Zeit für Fragen. Alles in allem würde ich den Kurs mit gemischten Gefühlen weiterempfehlen. Denn für den Arbeitsalltag gelernt habe ich nicht wahnsinnig viel, die ein oder andere Idee vielleicht bzw Refresher von CISSP Inhalten. Ob mich der Kurs optimal für die Prüfung vorbereitet hat kann ich allerdings auch nicht wirklich beantworten, ich hatte oft das Gefühl das einige Themen nicht/zu wenig beleuchtet worden sind und ich die Frage nur mit Hilfe der Erfahrung beantworten konnte. Allerdings haben von ich denke 10 Usern 9 bestanden und wir hatten ganz sicher keinen vergleichbaren Background...also am Ende des tages muss der Kurs dann doch auch geholfen haben. Ich denke, es ist schon mal sehr von Vorteil das man sich 4 Tage komplett auf das Thema konzentrieren kann und wieder in die "ISC² Denke" kommt :) War auf jeden Fall mal wieder interessant und anstrengend, für einige Wochen/Monate habe ich erst mal genug :)

intene zonen wird einem kein provider anlegen, ich denke zB eine at-work.local würde es sonst ein wenig öfter geben...das wird dann eher schwierig. Selbst wenn es dann eine einzigartige interne domain gäbe....sollen dann proivate IPs ins offizielle DNS ? Interne Strukturen die man öffentlich bekanntmacht ? nene, das hat dort alles nix zu suchen, hier muss man sich ein sinnvollens Konzept überlegen: split DNS interne DNS an Clients im corporate network und per VPN von aussen gibts nur den Teil zu sehen den man von aussen eben braucht, ob Kunde, Mitarbeiter oder Consulter spielt keien Rolle. Im Idealfall sidn das dann also nur Portale die eben von aussen zugänglich sein müssen: owa, extranet, vpn Zugangspunkt, Website/shop...sowas eben. in lokalen Dateien für die Namensauflösung trägt man nur zu testzwecken etwas ein, sagen wir wenn ein host Eintrag noch nicht im DNS ist oder man einen Dienst zusätzlich noch auf einer test IP am laufen hat. Das sollte niemals ein Anlaufpunkt für normalen operativen Betrieb sein. Das gibt immer nur Ärger weil dann darauf vergessen wird, wie bekomt man Änderungen automatisch auf Clients gepusht die man nicht unter Kontrolle hat, was ist mit mobiles,tablets,irgendwelches embedded Zeugs, usw usf

da würde ich wohl ma am ehesten in die logs des draytek gucken.

das kommt dann auch auf die Organistationsstruktur an :) EV Zertifikate benötigen wir zum Glück nur bei wenigen Anwendungen...das ist dann schon ziemlich aufwendig wenn man statt über ein Webformular nur mit echten Unterschriften (von wichtigen Leuten) zu einem Zertifikat kommt. Wir bezahlen für Zertifikate zwar keien absoluten lowcost betrag, aber dafür bietet unsere CA guten Service, was nicht zu verachten ist.

Spielt dann auch keine Rolle ob man an einer Hotline einem Rentner was erklärt oder man vor oberen Management spricht, die Message muss so verpackt sein das sie der Empfänger auch verstehen kann. Sonst erreicht man im Extremfall genau das Gegenteil, man wirkt blasiert und weltfremd...da hört einem nun mal niemand gerne zu. Daher, klare Ansagen mit Begriffen die das gegnüber versteht und bei komplexeren Dingen Analogien verwenden. E-Mail ist nichts anderes als ein elektronischer Brief (gibt ja Postfächer, die Nachricht, man kann Geheimtext schreiben, Zusteller gibts etc), bei vielen Securitythemen kann man Vergleiche zu Türen, Schlössern, Safes usw verwenden.

Es gibt keien Allheilmittel, auch keine Wunderfrage die sofort weiterhilft. Da braucht man Erfahrung. Was sich allerdings bewährt hat sind geschlossene Fragen, dei sind am Anfang des Gesprächs noch nicht besonders hilfreich, aber ein Problem weiter einzugrenzen sehr sinnvoll. So gibt man dem Partner keinen Spielraum lange Geschichten zu erzählen und kommt schneller voran. Man muss auch immer sehr genau hinhören, sich vielleicht auch dei ein oder andere Notiz machen, kommt auf die Komplexität des Problems an. Und dei Fragen/Antworten bzw die Ausdrucksweisedie man von sich gibt müssen dem Partner gegenüber angemessen sein, also wenn ich wahllos 100 Leute aus meiner Firma greife, kann ganz sicher nciht jeder was mit dem Ausdruck CAPS Lock etwas anfangen, nur so als einfaches Beispiel.

verwende immer noch 1.26 :) da gehört neben https auch gleich ein pinning eingeführt, dann wrids schon ziemlich schwer jemanden per Update irgendwelchen "Müll" zu liefern.

Es komtm auch ganz darauf an wozu die Anbindung dient. Bei uns wäre das eine Aussenstelle die ohnehin nur via VPN in die Zentrale ohne lokalen dropout bekommt. Das würden wir mit Barracuda Firewalls lösen, die können mehrere (glaube bis zu 16) Transports, spich Leitungen nutzen. Via recht gutem QoS kann man dann genau regeln was über welchen Transport geht.

Würde mir wohl mal ein paar Plugs ausdrucken, das wäre auch cniht all zu viel Material das draufgeht :)

auf dieser Plattform gibt es kein ISSU, sprich du musst rebooten um eine neue release zu bekommen. Das kannst du per per Member machen, sprich alles was exklusiv nur da dran angesteckt ist, ist für die Dauer des Reboots offline. Ein 3650 braucht schon ne Weile zum hochfahren,POST usw, sollte man also gut 5min einkalkulieren. Ob man da beim Stackmaster oder wo anders anfängt weiß ich allerdigns nicht, denke ich würde eher bei normalen Membern beginnen und den Master am Ende machen

wenn man das so mitbekommt...wär es schon bald interessant eine eigene "Quarantänezone" für HR MItarbeiter einzurichten :) Aber über kurz oder lang müsste man dann alle Mitarbieter irgendwo einsperren udn keiner könnte mehr auf geteilte Ressourcen zugreifen. denn nach den Bewerbungen kommen halt Offer an den Einkauf, C-Level oder eben deren Assistenz und weiterhin natürlich Rechnungen aller Art an alle.

also meiner Meinung nach wird es weiter Allrounder geben und natürlich auch für alles Spezialisten in verschiedener Ausprägung. Ich mags nur nicht wenn IT kaputtgespart wird und dann plötzlich jemand ganz alleien für alles von WAN Anbindung, Netzwerk, Firewall, Client bis Server Betriebsysteme und Applikationen verantwortlich ist. Das schafft niemand, das bringt auch niemand mehr unter eienne Hut sich dafür dann eventuell die richtigen Partner zu suchen und die auszusteuern. Ebensowenig mag ich 100% Spezialiserung auf einen einzigen sehr kleinen Bereich ohne auch nur geringstes Interesse zu zeigen was denn die Kollegen und Systeme rundherum so machen und wozu man eigentlich das Ding betreibt an dem man den ganzen Tag sitzt.

technisch sollte das kein Problem darstellen, die Dauer und genauigkeit des Baselinings ist hier allerdings kritisch. Aber besser es schaut jemand ein paar Alarme zu viel nach als zu wenige

schau einfach mal welche speed/duplex settings auf beiden Seiten eingestellt sind.

wie verwenden SFTP Server, allerdings ausschließlich mit public key authentication :)

Ich kann nicht folgen, was genau willst du jetzt wo installieren/konfigurieren ?

nein, Services die auf der ASA terminieren kann sie nicht weiter unterscheiden, das schafft sie ja nicht mal mit Services die sie selber anbietet, Anyconnect und ASDM muss man ja auch auf Portebene trennen. Das was du willst, würde ein loadbalancer bieten